Хакер, взламывающий защиту электростанции – это не смешно14.10.2017
На прошедшей неделе в Москве компания Group-IB провела свою ежегодную конференцию CyberCrimeCon/17. Начнем с неутешительных выводов. Хакеры будут успешно атаковать промышленные объекты, потому что научились работать с «логикой» критически важной инфраструктуры. На таких объектах используются сложные, специфические ИТ-системы: даже получив к ним доступ, нужно обладать специальными знаниями о принципах их работы, чтобы вывести объект из строя. Но за последний год уровень компетенции хакеров вырос, они научились работать с логикой жизненно важной инфраструктуры, и теперь можно прогнозировать новые крупные инциденты. Банки, электростанции, криптобиржи — наиболее вероятные цели хакеров в следующем году. По мнению экспертов, атаку на инфраструктуру предприятий финансового сектора будут использовать как финансово мотивированные киберпреступники, так и хакеры, спонсируемые государством. «Ущерб от простоя в банковской сфере может быть гораздо более ощутимым, чем от хищения. Получение контроля над IT-инфраструктурой крупных системообразующих банков или выведение ее из строя дает возможность оказывать влияние на национальную экономику, курс валюты и приводит к другим масштабным последствиям, в которых не всегда заинтересованы финансово мотивированных хакеры», - отметил руководитель отдела расследований и сервиса киберразведки Threat Intelligence, сооснователь Group-IB Дмитрий Волков. Он традиционно представил на конференции основные моменты отчета Hi-Tech Crime Trends 2017. Вот некоторые цифры и выводы. За год в результате хищений в интернет-банкинге у юридических лиц с использованием вредоносных программ было украдено почти $10,4 млн, а в ходе целевых атак на банки — более $27 млн. Несмотря на снижение обоих показателей на 35% по сравнению с прошлым годом, целевые атаки на финансовые организации продолжат приносить киберпреступникам наибольший доход. Ущерб от троянов под Android в России вырос на 136% и перекрыл ущерб от троянов для персональных компьютеров на 30%. Хакеры сумели автоматизировать фишинг под банки и платежные системы, фишинг теперь происходит без непосредственного участия киберпреступника в каждой краже. Ежедневно жертвами финансового фишинга в России становятся более 900 клиентов банков. В среднем 10–15% посетителей фишинговых сайтов попадаются на уловку преступников и вводят свои данные. Из 22 новых вредоносных программ для хищения денежных средств 20 (91%) созданы и управляются людьми, говорящими на русском языке. Один из выводов отчета Hi-Tech Crime Trends 2017: хакеры переключают свое внимание с банков на криптоиндустрию (ICO, кошельки, биржи, фонды), где аккумулируется все больше денег. Атаки на такие компании с точки зрения технической реализации не сложнее атак на банки, в то время как уровень зрелости ИБ в блокчейн-компаниях гораздо ниже. В то же время особенности блокчейн-технологий способствуют анонимности и значительно снижают риск быть пойманным при обналичивании средств. Хотя и здесь мошенники уже научились похищать деньги в одной стране, а обналичивать их в другой. Суммарный ущерб от целевых хакерских атак на криптоиндустрию составил более $168 млн., а доход от атак на криптобиржи варьируется от $1,5 (Bitcurex) до $72 млн. (Bitfinex), в то время как в результате успешной атаки на банк преступники в среднем зарабатывают всего $1,5 млн. Взломы криптовалютных бирж проводятся по той же схеме, что и целенаправленные атаки на банки: используются схожие, а иногда и идентичные инструменты, а также похожие тактики. Например, злоумышленники получают SIM-карты по поддельным документам для восстановления паролей и получения контроля над счетом в криптовалютных сервисах. Злоумышленники «перенастраивают» популярные банковские трояны, такие как TrickBot, Vawtrak, Qadars, Tinba, Marcher, для сбора логинов и паролей пользователей криптовалют. Это говорит о том, что преступники нашли для себя новую прибыльную нишу, и в ближайшее время
Повышенный интерес к криптовалютной индустрии неизбежно приведет к тому, что все больше атак будет совершаться не только финансово мотивированными хакерами, но и группировками, спонсируемыми государствами, которые будут пытаться использовать этот новый финансовый инструмент для влияния на мировую экономику. «Количество угроз для криптовалютных и блокчейн-проектов, фиксируемых нашей системой Threat Intelligence, взлетело вместе с курсом биткоина. Уже успешно используются уязвимости в исходном коде смарт-контрактов. Получены доступы к секретным кошелькам криптобирж. Произошли утечки баз данных пользователей, угоны доменных имен. Владельцы бот-сетей отслеживают обращения зараженных устройств к веб- и мобильным приложениям кошельков, бирж, фондов. Создание и продвижение фишинговых сайтов-клонов для перехвата доступов к клиентским счетам уже ставится на поток», — убежден Дмитрий Волков. По данным Chainalysis, хакерам удалось украсть 10% всех средств, в 2017 году инвестированных в ICO-проекты в Ethereum. Общий ущерб в долларовом эквиваленте составил $225 миллионов, 30 000 инвесторов лишились в среднем по $7500. Новые инструменты, создаваемые киберпреступниками, усложняются, порой на оснащение их дополнительными функциями уходит порядка трех лет. Например, хакерская группа BlackEnergy продолжает атаки на финансовые и энергетические компании. Оказавшиеся в ее распоряжении инструменты позволяют удаленно управлять терминалами Remote terminal unit (RTU), которые отвечают за физическое размыкание/замыкание энергосети. А летом 2017 года были зафиксированы тестовые атаки на энергокомпании Великобритании и Ирландии. Нельзя не констатировать что в настоящее время хакерский инструментарий стал совершеннее, чем в предыдущие годы. Сегодня основной принцип проведения атак – бестелесность и вредоносные скрипты. Хакеры стараются оставаться незамеченными и для этого используют «бестелесные» программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки. Кроме того, скрипты на PowerShell, VBS, PHP помогают им закрепиться в системе, а также автоматизировать некоторые этапы атаки. В будущем стоит ожидать большого количества заскриптованных атак, а также готовых простых инструментов, которые будут автоматически получать контроль над инфраструктурой компании. Появление таких инструментов в открытом доступе или в продаже среди хакеров может привести к лавинообразному росту самых разных атак на корпоративный сектор. В первую очередь ожидается рост инцидентов с шифровальщиками, кражей конфиденциальной информации и вымогательством за неразглашение данных, а также увеличение количества хищений денежных средств и публичных разоблачений, проводимых не финансово мотивированными атакующими. В ближайшее время появится больше последователей The Shadow Brokers и инсайдеров, помогающих WikiLeaks. Прогнозируется, что авторы вредоносных программ продолжат более активно выкладывать исходные коды своих программ. Кроме того, утечки, публикуемые The Shadow Brokers и их возможными последователями, также будут незамедлительно применяться на практике для создания и усовершенствования вредоносных программ. Это даст мощный толчок к развитию индустрии кибернападения. В начале 2017 года эксперты Group-IB зафиксировали первые случаи использования шифровальщиков для сокрытия следов ограбления банка. В ходе атаки на один из банков группировка Cobalt получила контроль над всей его информационной сетью. После совершения хищения хакеры запустили модифицированную версию шифровальщика Petya — PetrWrap — на всех компьютерах в сети, чтобы скрыть следы преступления. Илья Сачков, генеральный директор и основатель Group-IB отметил, что в мире сейчас происходит технологическая революция, и уклад преступности тоже изменился. Классических преступлений стало меньше, а люди по старинке стремятся защититься от классических угроз. Взять хотя бы бюджет РФ: 25% направляется на военные расходы, непомерно раздут штат силовых структур, но обычный гражданин не получит помощи. Фраза - «вот когда убьют, тогда и приходите» - стала классикой. Между тем, киберугрозы при всей их мощи пока не находят адекватной оценки, хотя очевидно, если кибероружие появится в Сети – это станет угрозой для миллионов людей. «Не смешно, когда хакеры взламывают электростанции, киберпреступники разгуливают на свободе а их фото в Сети набирают тысячи «лайков»», - с горечью говорит Илья Сачков. Сейчас все новые технологии – не только достояние граждан, но и киберпреступников. А они изобретают и применяют новинки быстро. Мы внедряем только сегодня то, что преступники изобрели лет пятнадцать назад, Например, шифрование в мессенджерах, или криптовалюту – преступники используют ее давно, а различные государства всё еще думают, легализовать ее или нет. Не введен мораторий на машинное обучение. Странно предполагать, что эти технологии не преминут взять на вооружение киберпреступники. Но общество по-прежнему недооценивают грядущих угроз: «умные дома», интернет вещей, «умные автомобили», автономные интеллектуальные поезда (будут ходить во Франции через 5 лет), роботы и т.д. – всё это не только удобство, но и новые, страшные риски для населения Земли. И еще. Преступления в киберсфере совершают люди, и это всегда проблема. Все признают, что хакеры со временем становятся людьми очень богатыми. Поэтому не удивительно, что молодые люди, даже девушки в старших классах проявляют интерс к сфере киберпреступлений. Для того, чтобы как-то переломить ситуацию, компания Group-IB начала привлекать в свои ряды старшеклассников. Илья Сачков полагает, что целью молодых людей должно стать не поступление в вуз (не важно, какой), а следовать своей мечте, осознанно выбирать свой путь, и лучше, если этот путь не будет тропой киберпреступника. Елена Шашенкова Тема:Безопасность |
© 2014. ИТ-Текст. Все права защищены.